　　補天漏洞響應平臺數(shù)據(jù)顯示，從2014年4月以來，涉及居民社保信息泄露的報告達46個，其中高危44個，至少涉及江蘇、陜西、四川、浙江、山西等19省份，涉及人員高達5200萬。其中超過千萬居民的相關(guān)信息漏洞至今未修復。

　　至少19省社保系統(tǒng)信息泄露涉及5200萬居民

　　補天漏洞響應平臺此次曝光的名單，或許只是公民社保類信息泄露的“冰山一角”。

　　近日，知名漏洞響應平臺曝光江蘇、陜西、四川、浙江、山西等全國至少19省份的社保系統(tǒng)存在漏洞，數(shù)千萬用戶的社保信息遭遇泄露危機。據(jù)記者了解，目前，40%的漏洞已經(jīng)修復，但仍有涉及超過千萬居民的數(shù)據(jù)漏洞未能修復。

　　對此，人力資源和社會保障部副部長胡曉義回應，已要求涉事地區(qū)排查隱患。確實存在漏洞的，要在第一時間采取措施，予以封堵。同時，從目前的監(jiān)控情況看，全國社保系統(tǒng)總體運行平穩(wěn)，未發(fā)現(xiàn)公民個人信息泄露事件。

　　記者調(diào)查發(fā)現(xiàn)，低級錯誤和懶政行為是這場危機的重要原因。

　　現(xiàn)狀目前還只有40%的漏洞修復

　　記者從補天漏洞響應平臺獲得的數(shù)據(jù)顯示，從2014年4月以來，涉及居民社保信息泄露的報告達46個，其中高危44個，至少涉及江蘇、陜西、四川、浙江、山西等19省份，涉及人員高達5200萬。其中超過千萬居民的相關(guān)信息漏洞至今未修復。

　　截至22日，多省市社保系統(tǒng)已對漏洞進行修復。根據(jù)補天平臺排查的數(shù)據(jù)顯示，40%的漏洞已經(jīng)修復。比如，涉及822萬人的遼寧省沈陽市社保局某系統(tǒng)SQL注入問題等。但還有部分省市社保系統(tǒng)未能修復。比如，吉林省長春市某醫(yī)保系統(tǒng)漏洞，涉及772萬人。

　　胡曉義說，目前，人社部信息中心已向平臺了解其所監(jiān)控到的漏洞信息，同時向多個地方人社部門了解情況，要求這些地區(qū)對隱患進行排查。確實存在漏洞的，要在第一時間采取措施，予以封堵。

　　原因既有技術(shù)失誤，更有人為責任

　　補天漏洞響應平臺此次曝光的名單，或許只是公民社保類信息泄露的“冰山一角”。另一家同類平臺—烏云漏洞報告平臺負責人孟卓向記者介紹，該平臺從2011年以來提交的社會保障、醫(yī)保和公積金類的信息泄露名單，數(shù)量高達近200個，至少涉及20個省份。

　　專家分析，政府網(wǎng)站出現(xiàn)大面積的信息漏洞，一是管理人員技術(shù)水平不高。但更重要原因，則是安全意識不夠，責任心不強。

　　孟卓說，涉及政府部門網(wǎng)站的信息泄露一般分為幾類：弱口令泄露、數(shù)據(jù)庫與敏感信息記錄文件直接泄露、密碼的暴力破解等諸多低級失誤?！芭c互聯(lián)網(wǎng)企業(yè)相比，政府機構(gòu)網(wǎng)站的信息安全漏洞都非常低級，不應該出現(xiàn)。”

　　設(shè)置非常簡單、容易猜到管理密碼的弱口令泄露，是此次信息安全泄露的重要一類，修改密碼就能解決諸多相關(guān)問題。但是，多地社保部門在漏洞發(fā)現(xiàn)后的數(shù)月間，沒有采取任何行動，有的至今未修復漏洞。孟卓說：“弱口令泄露在技術(shù)修復上不存在任何難度，甚至要不了幾分鐘。歷時多月而不修復，往往是管理人員的懶政導致的。”

　　比如，涉及345萬人的湖北省十堰市社保某系統(tǒng)泄露社保信息問題、涉及428萬人的四川省內(nèi)江市社保某系統(tǒng)泄露參保1398家企業(yè)單位的員工社保信息問題，都屬于此類。但從今年1月漏洞被發(fā)現(xiàn)至今，均未做任何修復。

　　專家還說，數(shù)據(jù)保管不當也是此次信息泄露危機的重要原因。

　　補天平臺相關(guān)負責人說，我們會將信息安全漏洞反饋給涉事機構(gòu)，但政府網(wǎng)站往往不給回應。“好一點的至少能悄悄地把漏洞修復了。但還有一些，卻連花幾分鐘修復最簡單的漏洞都不愿意。”

　　追責專家稱應對信息泄露追責

　　專家指出，個人信息保護變得越來越重要，要防堵政府網(wǎng)站的個人信息泄露，需要提升意識、引入優(yōu)秀人才，還要建立問責機制，責任到人，防止“集體負責”變成“無人負責”。

　　安天實驗室首席技術(shù)架構(gòu)師肖新光說，我國的政務信息化安全水平較弱，應在思想意識上提升對信息安全和數(shù)據(jù)安全重要性的認知。

　　孟卓說，不少政府部門在信息管理方面依然是重建設(shè)輕維護。政府機構(gòu)的網(wǎng)站往往由傳統(tǒng)機構(gòu)進行維護，有的簡單外包給第三方企業(yè)，對系統(tǒng)安全性不夠重視。

　　啟明星辰首席戰(zhàn)略官、中國計算機學會常務理事潘柱廷說，我國現(xiàn)在缺乏對信息安全泄露的問責機制。政府部門里往往沒有人對信息泄露負責，有些“集體負責”實際上是無人負責，有些“一把手負責”實際上也是沒人負責。應在體制機制上進行改革，在社保等重要部門要設(shè)立“首席信息安全官”等職位負責信息安全問題，并在經(jīng)費投入等方面加大支持力度。

　　社保系統(tǒng)的信息安全漏洞怎么補

　　《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》雖強調(diào)了政府在個人信息保護中的法定責任，卻回避了信息泄露后的事故責任主體問題，而誰來查泄露和罰款范圍幅度也沒有提及，這是個問題。

　　社保系統(tǒng)存在高危漏洞，讓很多人繃緊神經(jīng)：可以說，社保信息幾乎包羅了公民所有“老底”。盡管說存在高危漏洞不等于信息已外泄，可一旦泄露，其風險不可小覷。

　　應看到，近年來信息大面積泄露事件也頻出。如果說以往多是銀行、酒店等管理系統(tǒng)網(wǎng)站安全性出問題，那這次被推上風口浪尖的則是政府管理部門。畢竟，社保信息是典型的政府保有信息范圍，搜集者和使用者都是政府部門。

　　得看到，我國與個人信息保護相關(guān)的法律法規(guī)、部門規(guī)章等迄今多達兩百多部，但我國法律對個人信息泄露責任，過多側(cè)重于直接侵權(quán)人，即實施盜取、非法搜集、利用和買賣者，卻很少涉及政府作為個人信息保有者的追責方面。這就導致，個人信息保護工作出了問題，信息保有者往往置身于責任外，如果事后找不到直接侵權(quán)人就不了了之。

　　關(guān)于政府在個人信息保護中的責任問題，2012年全國人大常委會出臺實施的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》第10條已明確：有關(guān)部門應履行職責，采取措施維護信息安全；國家工作人員對個人信息有保密義務。該規(guī)定強調(diào)了政府在個人信息保護中的法定責任，也明確了罰款、警告等處罰措施，但卻回避了信息泄露后的事故責任主體問題，而誰來查泄露和罰款范圍幅度也沒有提及。

　　從理論上講，因政府主管部門管理體制或技術(shù)問題造成的監(jiān)管不力，導致個人信息大規(guī)模間接泄露的，政府主管領(lǐng)導和信息直接管理者也應承擔事故責任。這與礦難事故、環(huán)境污染等責任事故中的政府責任認定，沒有本質(zhì)區(qū)別。互聯(lián)網(wǎng)時代，個人信息泄露的社會危害性本也不亞于其他類型責任事故。

　　除了法律追責之外，還應盡快加大對信息安全的技術(shù)性投入，適時引入“安全官”制度，將個人信息安全保護與搜集和利用信息的部門分開，各司其職，明確責任清單。

　　在大數(shù)據(jù)概念通行的當下，政府將是公民信息最大的保有者，它保有的不僅是“價值連城”的個人數(shù)據(jù)，還是涉及公民核心隱私的“火藥庫”。因此，有必要借這次契機，盡快將個人信息保有者問責機制寫入法律，倒逼政府履責到位，提升其對信息泄露的警覺。